27-4 文件上传漏洞 - 黑名单绕过

  • 开发
  • 43

环境准备:构建完善的安全渗透测试环境:推荐工具、资源和下载链接_渗透测试靶机下载-CSDN博客

一、黑名单绕过和黑白名单机制:

  • 黑名单:黑名单中的文件不允许通过。
  • 白名单:白名单中的文件允许通过。

二、黑白名单判断:

当输入一串后缀如"sfahkfhakj"时,黑名单不会拦截,但白名单会拦截。

思路:在创建一个文件后,将文件后缀名改成类似"sfahkfhakj"的不合法字符,然后打开 upload-labs 靶场的第三关。尝试上传这个带有不合法后缀名的文件,如果可以正常上传,则说明目标系统的后台可能存在黑名单绕过或者未进行绕过处理;反之,如果无法上传,则可能存在白名单机制。

三、具体绕过方式:

  1. 同解析后缀名

阅读全部

相关推荐

  3. 27-3 文件漏洞 - 文件类型(后端

    2024-03-19 11:44:07       40 阅读

  6. 27-5 文件漏洞 -大小写、空格、点、下划线等

    2024-03-19 11:44:07       45 阅读

最近更新

  3. docker php8.1+nginx base 镜像 dockerfile 配置

    2024-03-19 11:44:07       94 阅读

  4. Could not load dynamic library ‘cudart64_100.dll‘

    2024-03-19 11:44:07       100 阅读

  9. 在Django里面运行非项目文件

    2024-03-19 11:44:07       82 阅读

  19. Python语言-面向对象

    2024-03-19 11:44:07       91 阅读

  20. 如何分清楚常见的 Git 分支管理策略Git Flow、GitHub Flow 和 GitLab Flow

    2024-03-19 11:44:07       85 阅读

热门阅读

  2. windows平台Qt5连接wifi

    2024-03-19 11:44:07       34 阅读

  7. 记录一下小程序自定义导航栏消息未读已读小红点,以及分组件的消息数量数据实时读取

    2024-03-19 11:44:07       38 阅读
  8. C++ 11

    C++ 11

    2024-03-19 11:44:07      33 阅读

  9. 一个j简单显示框架及简单实现再探编程_C++

    2024-03-19 11:44:07       35 阅读

  10. csv编辑器是干什么的?

    2024-03-19 11:44:07       37 阅读

  14. C++/CLI学习笔记12(快速打通c++与c#相互调用的桥梁)

    2024-03-19 11:44:07       36 阅读

  15. 【 React 】Real DOM 和Virtual DOM的区别?优缺点?

    2024-03-19 11:44:07       37 阅读

  19. React+umi+dva 项⽬实战-lesson6

    2024-03-19 11:44:07       44 阅读

  23. HCIA_IP路由基础问题?

    2024-03-19 11:44:07       41 阅读

  24. 独立维基和验收测试框架 Fitnesse 入门介绍

    2024-03-19 11:44:07       45 阅读

  29. 全量知识系统 微服务及特征复数空间和立体逻辑方阵的设想及SmartChat回复

    2024-03-19 11:44:07       38 阅读

  30. 模块化开发在不同编程语言中的实现方式有何异同?并以LabVIEW为例进行说明

    2024-03-19 11:44:07       38 阅读